Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen

Migration von hsm1.medium zu hsm2m.medium

PDF
RSS
Fokusmodus
Migration von hsm1.medium zu hsm2m.medium - AWS CloudHSM
ÜbersichtVoraussetzungenModus mit eingeschränktem Cluster-SchreibzugriffDie Migration wird gestartetDie Migration rückgängig machenDaten nach einem Rollback synchronisieren

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Sie können Ihren Cluster von hsm1.medium auf hsm2m.medium migrieren. AWS CloudHSM In diesem Thema werden die Voraussetzungen, der Migrationsprozess und die Rollback-Verfahren beschrieben.

Bevor Sie mit der Migration beginnen, stellen Sie sicher, dass Ihre Anwendung den Empfehlungen unter entspricht. Richten Sie Ihren Cluster auf Hochverfügbarkeit aus Dies hilft, Ausfallzeiten während des Prozesses zu vermeiden.

Überblick über den Migrationsprozess von hsm1.medium zu hsm2m.medium

Warnung

AWS KMS CloudHSM-Schlüsselspeicher unterstützen keine hsm2m.medium-Cluster. Migrieren Sie erst, wenn Unterstützung hinzugefügt wurde.

Sie können die Migration mit der AWS CloudHSM Konsole AWS CLI, der oder der AWS CloudHSM API starten. Unabhängig davon, wo Sie sie initiieren, verwendet die AWS CloudHSM Clustermigration den modify-cluster API-Endpunkt. Sobald die Migration beginnt, wechselt Ihr gesamter Cluster in einen eingeschränkten Schreibmodus. Weitere Informationen finden Sie unter Cluster-Modus mit eingeschränktem Schreibzugriff.

Um die Auswirkungen zu minimieren, AWS CloudHSM wechseln Sie nacheinander HSMs von hsm1.medium zu hsm2m.medium.

So funktioniert die Migration:

  1. AWS CloudHSM Erstellt vor der Migration des ersten HSM ein vollständiges Backup des gesamten Clusters.

  2. AWS CloudHSM Erstellt mithilfe dieser Sicherung ein neues HSM des angeforderten Typs (hsm2m.medium), um das erste HSM zu ersetzen.

  3. AWS CloudHSM Erstellt vor der Migration jedes nachfolgenden HSM eine neue vollständige Sicherung des gesamten Clusters.

  4. AWS CloudHSM wiederholt die Schritte 3 und 4 für jedes HSM im Cluster, wobei jeweils ein HSM migriert wird.

  5. Jede einzelne HSM-Migration dauert ungefähr 30 Minuten.

AWS CloudHSM überwacht den Zustand des Clusters und führt während des gesamten Migrationsprozesses Validierungen durch. Wenn eine AWS CloudHSM Zunahme von Fehlern festgestellt wird oder eine Validierungsprüfung fehlschlägt, wird die Migration automatisch gestoppt und der Cluster wird auf seinen ursprünglichen HSM-Typ zurückgesetzt. Sie können nach dem Start der Migration auch bis zu 24 Stunden lang manuell ein Rollback durchführen. Vor dem Rollback finden Sie weitere Informationen unter Überlegungen zum HSM-Rollback.

Voraussetzungen für die Migration zu hsm2m.medium

Ihr vorhandener AWS CloudHSM Cluster muss diese Anforderungen erfüllen, um zu hsm2m.medium zu migrieren. Wenn bei den Validierungsprüfungen eine Bedingung nicht erfüllt ist, AWS CloudHSM wird der Cluster automatisch auf seinen ursprünglichen HSM-Typ zurückgesetzt.

  • In den letzten 7 Tagen:

    • Alle Client-Verbindungen haben SDK 5.9 oder höher verwendet.

      • Wenn ECDSA Verify durchgeführt wurde, haben alle Client-Verbindungen SDK 5.13 oder höher verwendet.

    • AWS CloudHSM Instanzen haben nur unterstützte (und keine der veralteten) Funktionen verwendet. Einzelheiten finden Sie unter Benachrichtigungen über veraltete Versionen.

  • Der Cluster befindet sich im Status AKTIV.

  • Der Cluster hat 27 HSMs oder weniger.

  • Die Fehlerrate für HSM-Operationen steigt während der Migration nicht an.

Warnung

AWS KMS CloudHSM-Schlüsselspeicher unterstützen keine hsm2m.medium-Cluster. Bitte migrieren Sie nicht, bis Unterstützung hinzugefügt wurde.

Cluster-Modus mit eingeschränktem Schreibzugriff

Wenn Sie die Cluster-Migration starten, wechselt sie in einen eingeschränkten Schreibmodus. Operationen, die den HSM-Status ändern können, werden abgelehnt. Alle Lesevorgänge bleiben davon unberührt.

Während der Migration erhält Ihre Anwendung beim Versuch der folgenden Operationen einen Fehler vom HSM:

  • Generierung und Löschung von Token-Schlüsseln (Sitzungsschlüssel-Workloads funktionieren weiterhin).

  • Alle Benutzererstellungen, Löschungen oder Änderungen.

  • Quorum-Operationen.

  • Änderung von Schlüsseln innerhalb des HSM, z. B. Änderung von Schlüsselattributen.

  • mTLS-Registrierung.

AWS CloudHSM versetzt Ihren Cluster außerdem in einen MODIFY_IN_PROGRESS Status während der Migration. Während dieser Zeit können Sie dem Cluster weder etwas hinzufügen noch HSMs aus ihm entfernen.

Die Migration wird gestartet

Durch den Cluster-Migrationsprozess werden einzelne Personen HSMs in Ihrem Cluster nacheinander ersetzt. Die Dauer hängt von der Anzahl der Mitglieder HSMs in Ihrem Cluster ab. Im Durchschnitt dauert dieser Vorgang etwa 30 Minuten pro HSM. Sie können den Fortschritt verfolgen, indem Sie den HSM-Typ der einzelnen Personen HSMs im Cluster überwachen, um zu sehen, wie viele Personen auf den neuen Typ migriert wurden.

Console
Um den HSM-Typ (Konsole) zu ändern

  1. Öffnen Sie die AWS CloudHSM Konsole zu https://console.aws.amazon.com/cloudhsm/Hause.

  2. Wählen Sie das Optionsfeld neben der ID des Clusters aus, den Sie ändern möchten

  3. Wählen Sie im Menü Aktionen den gewünschten Modify HSM Type HSM-Typ aus und wählen Sie ihn aus

Durch dieses Verfahren wird Ihr Cluster in den MODIFY_IN_PROGRESS Status versetzt. Nach der Migration kehrt Ihr Cluster in den ACTIVE Status zurück.

AWS CLI
Um den HSM-Typ zu ändern () AWS CLI

  • Führen Sie über die Eingabeaufforderung den folgenden modify-cluster-Befehl aus. Geben Sie die Cluster-ID und den gewünschten HSM-Typ an. 

    $ aws cloudhsmv2 modify-cluster --cluster-id <cluster ID> --hsm-type <HSM Type>
                                                 
 
 {
     "Cluster": {
         "BackupPolicy": "DEFAULT",
         "BackupRetentionPolicy": {
             "Type": "DAYS",
             "Value": 90
          },
         "VpcId": "vpc-50ae0636",
         "SubnetMapping": {
             "us-west-2b": "subnet-49a1bc00",
             "us-west-2c": "subnet-6f950334",
             "us-west-2a": "subnet-fd54af9b"
         },
         "SecurityGroup": "sg-6cb2c216",
         "HsmType": "hsm2m.medium",
         "HsmTypeRollbackExpiration": 1730383180.000,
         "Certificates": {},
         "State": "MODIFY_IN_PROGRESS",
         "Hsms": [],
         "ClusterId": "cluster-igklspoyj5v",
         "ClusterMode": "FIPS",
         "CreateTimestamp": 1502423370.069
     }
 }

Durch dieses Verfahren wird Ihr Cluster in den MODIFY_IN_PROGRESS Status versetzt. Nach der Migration kehrt Ihr Cluster in den ACTIVE Status zurück.

AWS CloudHSM API
Um den HSM-Typ (AWS CloudHSM API) zu ändern

  • Senden Sie eine ModifyCluster request. Geben Sie die Cluster-ID und den gewünschten HSM-Typ für den Cluster an.

Durch dieses Verfahren wird Ihr Cluster in den MODIFY_IN_PROGRESS Status versetzt. Nach der Migration kehrt Ihr Cluster in den ACTIVE Status zurück.

anchoranchoranchor
Um den HSM-Typ (Konsole) zu ändern

  1. Öffnen Sie die AWS CloudHSM Konsole zu https://console.aws.amazon.com/cloudhsm/Hause.

  2. Wählen Sie das Optionsfeld neben der ID des Clusters aus, den Sie ändern möchten

  3. Wählen Sie im Menü Aktionen den gewünschten Modify HSM Type HSM-Typ aus und wählen Sie ihn aus

Durch dieses Verfahren wird Ihr Cluster in den MODIFY_IN_PROGRESS Status versetzt. Nach der Migration kehrt Ihr Cluster in den ACTIVE Status zurück.

Die Migration rückgängig machen

AWS CloudHSM überwacht erhöhte Fehlerraten und führt während der gesamten Migration kontinuierliche Validierungsprüfungen durch. Wenn AWS CloudHSM eine Verschlechterung der Servicequalität oder Validierungsfehler festgestellt werden, wird automatisch ein Rollback zum ursprünglichen HSM-Typ Ihres Clusters eingeleitet. Während eines Rollbacks gilt für jedes HSM im Cluster Folgendes:

  • AWS CloudHSM verwendet das Backup, das zu Beginn der HSM-Migration erstellt wurde.

  • Es ersetzt jeweils ein HSM, bis alle auf den ursprünglichen HSMs Typ zurückgesetzt sind.

  • Ihr Cluster bleibt während des gesamten Vorgangs im eingeschränkten Schreibmodus.

Sie können die Migration innerhalb von 24 Stunden nach dem Start rückgängig machen. Um die Frist für das Rollback zu überprüfen:

  1. Führen Sie den Befehl describe-clusters aus.

  2. Suchen Sie nach dem WertHsmTypeRollbackExpiration. Dieser Zeitstempel ist Ihre Rollback-Frist.

Wenn Sie sich für ein Rollback entscheiden, tun Sie dies vor Ablauf dieser Frist. Das Rollback verwendet das neueste Backup Ihres ursprünglichen HSM-Typs.

Warnung

Seien Sie vorsichtig beim Rollback nach Abschluss einer Migration. Wenn Sie eine Migration abschließen und anschließend neue Schlüssel oder Benutzer erstellen, kann ein Rollback zu Datenverlust führen. AWS CloudHSM Unter Daten nach einem Rollback synchronisieren erfahren Sie, wie Sie den Datenverlust nach einem Rollback minimieren können.

Console
So führen Sie ein Rollback Ihres HSM-Typs (Konsole) durch

  1. Öffnen Sie die AWS CloudHSM Konsole zu https://console.aws.amazon.com/cloudhsm/Hause.

  2. Wählen Sie die ID des Clusters aus, für den Sie ein Rollback durchführen möchten.

  3. Wählen Sie im Menü Aktionen den ursprünglichen Modify HSM Type HSM-Typ aus und wählen Sie ihn aus

Durch dieses Verfahren wird Ihr Cluster in den ROLLBACK_IN_PROGRESS Status versetzt. Nach dem Rollback kehrt Ihr Cluster in den ACTIVE Status zurück.

AWS CLI
Um Ihr HSM zurückzusetzen, geben Sie () ein AWS CLI

  • Führen Sie über die Eingabeaufforderung den folgenden modify-cluster-Befehl aus. Geben Sie die Cluster-ID und den ursprünglichen HSM-Typ an. 

    $ aws cloudhsmv2 modify-cluster --cluster-id <cluster ID> --hsm-type <HSM Type>
                                
{
 "Cluster": {
     "BackupPolicy": "DEFAULT",
     "BackupRetentionPolicy": {
         "Type": "DAYS",
         "Value": 90
      },
     "VpcId": "vpc-50ae0636",
     "SubnetMapping": {
         "us-west-2b": "subnet-49a1bc00",
         "us-west-2c": "subnet-6f950334",
         "us-west-2a": "subnet-fd54af9b"
     },
     "SecurityGroup": "sg-6cb2c216",
     "HsmType": "hsm1.medium",
     "HsmTypeRollbackExpiration": 1730383180.000,
     "Certificates": {},
     "State": "ROLLBACK_IN_PROGRESS",
     "Hsms": [],
     "ClusterId": "cluster-igklspoyj5v",
     "ClusterMode": "FIPS",
     "CreateTimestamp": 1502423370.069
 }
}

Durch dieses Verfahren wird Ihr Cluster in den ROLLBACK_IN_PROGRESS Status versetzt. Nach dem Rollback kehrt Ihr Cluster in den ACTIVE Status zurück.

AWS CloudHSM API
Um Ihren HSM-Typ (AWS CloudHSM API) zurückzusetzen

  • Senden Sie eine ModifyCluster request. Geben Sie die Cluster-ID und den ursprünglichen HSM-Typ für den Cluster an.

Durch dieses Verfahren wird Ihr Cluster in den ROLLBACK_IN_PROGRESS Status versetzt. Nach dem Rollback kehrt Ihr Cluster in den ACTIVE Status zurück.

anchoranchoranchor
So führen Sie ein Rollback Ihres HSM-Typs (Konsole) durch

  1. Öffnen Sie die AWS CloudHSM Konsole zu https://console.aws.amazon.com/cloudhsm/Hause.

  2. Wählen Sie die ID des Clusters aus, für den Sie ein Rollback durchführen möchten.

  3. Wählen Sie im Menü Aktionen den ursprünglichen Modify HSM Type HSM-Typ aus und wählen Sie ihn aus

Durch dieses Verfahren wird Ihr Cluster in den ROLLBACK_IN_PROGRESS Status versetzt. Nach dem Rollback kehrt Ihr Cluster in den ACTIVE Status zurück.

Daten werden nach einem Rollback synchronisiert

Sie HSMs befinden sich während der Migration im eingeschränkten Schreibmodus, wodurch Änderungen am HSM-Status verhindert werden. Wenn Sie während dieser Zeit (während der Cluster aktiv istMODIFY_IN_PROGRESS) ein Rollback durchführen, entsteht ein Cluster, dessen Inhalt mit dem des ursprünglichen Clusters identisch ist.

Nachdem Ihr Cluster in den ACTIVE Status zurückgekehrt ist, wird der eingeschränkte Schreibmodus aufgehoben. Wenn Sie im ACTIVE Status einen Schlüssel oder Benutzer erstellen und dann ein Rollback durchführen, ist dieser Schlüssel oder Benutzer nicht in Ihrem Rollback-Cluster vorhanden.

Um dieses Problem zu lösen, verwenden Sie den Befehl key replicate der CloudHSM-CLI, um einen Schlüssel zwischen zwei Clustern zu replizieren. Wenn Sie ihn nicht installiert haben, lesen Sie die Anweisungen unter. Erste Schritte mit der AWS CloudHSM Befehlszeilenschnittstelle (CLI)

Um Schlüssel nach dem Rollback zu synchronisieren

Gehen Sie nach Abschluss des Rollbacks wie folgt vor. Wir werden diese Begriffe verwenden:

  • „cluster-1": Ihr Rollback-Cluster (jetzt hsm1.medium)

  • „cluster-2": Ein neuer temporärer hsm2m.medium-Cluster, den Sie erstellen werden

  1. Erstellen Sie einen neuen hsm2m.medium-Cluster (Cluster-2) mit dem neuesten hsm2m.medium-Backup von Cluster-1:

    aws cloudhsmv2 create-cluster --hsm-type hsm2m.medium \
                                --subnet-ids <subnet ID 1> <subnet ID 2> subnet ID N> \
                                --source-backup-id <backup ID>
                                --mode <FIPS>

  2. Erstellen Sie ein HSM in Cluster-2:

    aws cloudhsmv2 create-hsm --cluster-id <cluster-2 ID>

  3. Listet die Schlüssel in Cluster-2 auf, die repliziert werden müssen:

    cloudhsm-cli key list --cluster-id <cluster-2 ID

  4. Replizieren Sie jeden Schlüssel von Cluster-2 nach Cluster-1:

    cloudhsm-cli key replicate --source-cluster-id <cluster-2 ID> \
                        --destination-cluster-id <cluster-1 ID> \
                        --filter attr.label=<key ID>

  5. Wiederholen Sie Schritt 4 für jeden Schlüssel, der kopiert werden muss.

  6. Löschen Sie das HSM in Cluster-2:

    aws cloudhsmv2 delete-hsm --cluster-id <cluster-2 ID> --hsm-id <HSM ID>

  7. Cluster-2 löschen:

    aws cloudhsmv2 delete-cluster --cluster-id <cluster-2 ID>

Auf dieser Seite

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.